Nodweddion gosodiadau DPI

Nid yw'r erthygl hon yn ymdrin ag addasiad DPI llawn a phopeth sy'n gysylltiedig â'i gilydd, ac mae gwerth gwyddonol y testun yn fach iawn. Ond mae'n disgrifio'r ffordd symlaf o osgoi DPI, nad yw llawer o gwmnïau wedi'i hystyried.

Ymwadiad #1: Mae'r erthygl hon o natur ymchwil ac nid yw'n annog unrhyw un i wneud na defnyddio unrhyw beth. Mae'r syniad yn seiliedig ar brofiad personol, ac mae unrhyw debygrwydd ar hap.

Rhybudd Rhif 2: nid yw'r erthygl yn datgelu cyfrinachau Atlantis, y chwilio am y Greal Sanctaidd a dirgelion eraill y bydysawd; mae'r holl ddeunydd ar gael yn rhwydd ac efallai ei fod wedi'i ddisgrifio fwy nag unwaith ar Habré. (Wnes i ddim dod o hyd iddo, byddwn yn ddiolchgar am y ddolen)

I'r rhai sydd wedi darllen y rhybuddion, gadewch i ni ddechrau.

Beth yw DPI?

Mae DPI neu Archwiliad Pecyn Dwfn yn dechnoleg ar gyfer cronni data ystadegol, gwirio a hidlo pecynnau rhwydwaith trwy ddadansoddi nid yn unig penawdau pecynnau, ond hefyd cynnwys llawn traffig ar lefelau'r model OSI o'r ail ac uwch, sy'n eich galluogi i ganfod a firysau bloc, hidlo gwybodaeth nad yw'n bodloni meini prawf penodedig .

Mae dau fath o gysylltiad DPI, a ddisgrifir ValdikSS ar github:

DPI goddefol

DPI wedi'i gysylltu â'r rhwydwaith darparwyr yn gyfochrog (nid mewn toriad) naill ai trwy holltwr optegol goddefol, neu drwy adlewyrchu traffig sy'n tarddu o ddefnyddwyr. Nid yw'r cysylltiad hwn yn arafu cyflymder rhwydwaith y darparwr rhag ofn na fydd perfformiad DPI yn ddigonol, a dyna pam y caiff ei ddefnyddio gan ddarparwyr mawr. Yn dechnegol, dim ond ymgais i ofyn am gynnwys gwaharddedig y gall DPI â'r math hwn o gysylltiad ei ganfod, ond nid ei atal. Er mwyn osgoi'r cyfyngiad hwn a rhwystro mynediad i wefan waharddedig, mae DPI yn anfon pecyn HTTP wedi'i grefftio'n arbennig at y defnyddiwr sy'n gofyn am URL wedi'i rwystro gydag ailgyfeiriad i dudalen bonion y darparwr, fel pe bai ymateb o'r fath wedi'i anfon gan yr adnodd y gofynnwyd amdano ei hun (IP yr anfonwr cyfeiriad a dilyniant TCP yn cael eu ffugio). Oherwydd bod y DPI yn agosach yn gorfforol at y defnyddiwr na'r wefan y gofynnwyd amdani, mae'r ymateb ffug yn cyrraedd dyfais y defnyddiwr yn gyflymach na'r ymateb go iawn o'r wefan.

DPI gweithredol

DPI gweithredol - DPI wedi'i gysylltu â rhwydwaith y darparwr yn y ffordd arferol, fel unrhyw ddyfais rhwydwaith arall. Mae'r darparwr yn ffurfweddu llwybro fel bod DPI yn derbyn traffig gan ddefnyddwyr i gyfeiriadau IP neu barthau wedi'u blocio, ac mae DPI wedyn yn penderfynu a ddylid caniatáu neu rwystro traffig. Gall DPI gweithredol archwilio traffig sy'n mynd allan a thraffig sy'n dod i mewn, fodd bynnag, os yw'r darparwr yn defnyddio DPI yn unig i rwystro safleoedd o'r gofrestrfa, mae'n cael ei ffurfweddu amlaf i archwilio traffig sy'n mynd allan yn unig.

Nid yn unig effeithiolrwydd blocio traffig, ond hefyd mae'r llwyth ar DPI yn dibynnu ar y math o gysylltiad, felly mae'n bosibl peidio â sganio'r holl draffig, ond dim ond rhai penodol:

DPI "Arferol".

Mae DPI “rheolaidd” yn DPI sy'n hidlo math penodol o draffig yn unig ar y porthladdoedd mwyaf cyffredin ar gyfer y math hwnnw. Er enghraifft, mae DPI “rheolaidd” yn canfod ac yn blocio traffig HTTP gwaharddedig yn unig ar borthladd 80, traffig HTTPS ar borthladd 443. Ni fydd y math hwn o DPI yn olrhain cynnwys gwaharddedig os byddwch yn anfon cais gydag URL wedi'i rwystro i IP heb ei rwystro neu heb ei rwystro porthladd safonol.

DPI "Llawn".

Yn wahanol i DPI “rheolaidd”, mae'r math hwn o DPI yn dosbarthu traffig waeth beth fo'r cyfeiriad IP a'r porthladd. Fel hyn, ni fydd gwefannau sydd wedi'u blocio yn agor hyd yn oed os ydych chi'n defnyddio gweinydd dirprwy ar borthladd hollol wahanol a chyfeiriad IP heb ei rwystro.

Defnyddio DPI

Er mwyn peidio â lleihau'r gyfradd trosglwyddo data, mae angen i chi ddefnyddio DPI goddefol "Normal", sy'n eich galluogi i effeithiol? bloc unrhyw? adnoddau, mae'r ffurfweddiad diofyn yn edrych fel hyn:

• Hidlydd HTTP yn unig ar borth 80
• HTTPS yn unig ar borth 443
• BitTorrent yn unig ar borthladdoedd 6881-6889

Ond mae problemau'n dechrau os bydd yr adnodd yn defnyddio porthladd gwahanol er mwyn peidio â cholli defnyddwyr, yna bydd yn rhaid i chi wirio pob pecyn, er enghraifft gallwch chi roi:

• Mae HTTP yn gweithio ar borthladd 80 a 8080
• HTTPS ar borthladd 443 a 8443
• BitTorrent ar unrhyw fand arall

Oherwydd hyn, bydd yn rhaid i chi naill ai newid i DPI “Active” neu ddefnyddio blocio gan ddefnyddio gweinydd DNS ychwanegol.

Blocio gan ddefnyddio DNS

Un ffordd o rwystro mynediad i adnodd yw rhyng-gipio'r cais DNS gan ddefnyddio gweinydd DNS lleol a dychwelyd cyfeiriad IP “bonyn” i'r defnyddiwr yn hytrach na'r adnodd gofynnol. Ond nid yw hyn yn rhoi canlyniad gwarantedig, gan ei bod yn bosibl atal ffugio cyfeiriad:

Opsiwn 1: Golygu'r ffeil gwesteiwr (ar gyfer bwrdd gwaith)

Mae'r ffeil gwesteiwr yn rhan annatod o unrhyw system weithredu, sy'n caniatáu ichi ei ddefnyddio bob amser. I gael mynediad i'r adnodd, rhaid i'r defnyddiwr:

1. Darganfyddwch gyfeiriad IP yr adnodd angenrheidiol
2. Agorwch y ffeil gwesteiwr i'w golygu (mae angen hawliau gweinyddwr), a leolir yn:
   • Linux: /etc/hosts
   • Ffenestri: %WinDir%System32setchostau gyrrwr
3. Ychwanegu llinell yn y fformat: <enw adnodd>
4. Arbedwch newidiadau

Mantais y dull hwn yw ei gymhlethdod a'r gofyniad am hawliau gweinyddwr.

Opsiwn 2: DoH (DNS dros HTTPS) neu DoT (DNS dros TLS)

Mae'r dulliau hyn yn caniatáu ichi amddiffyn eich cais DNS rhag ffugio gan ddefnyddio amgryptio, ond ni chefnogir y gweithrediad gan bob rhaglen. Edrychwn ar ba mor hawdd yw sefydlu DoH ar gyfer Mozilla Firefox fersiwn 66 o ochr y defnyddiwr:

1. Ewch i'r cyfeiriad am: ffurfweddu yn Firefox
2. Cadarnhewch fod y defnyddiwr yn cymryd pob risg
3. Newid gwerth paramedr modd rhwydwaith.trr ar:
   • 0 - analluogi TRR
   • 1 - dewis awtomatig
   • 2 - galluogi DoH yn ddiofyn
4. Newid paramedr rhwydwaith.trr.uri dewis gweinydd DNS
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • GoogleDNS: dns.google.com/experimental
5. Newid paramedr rhwydwaith.trr.boostrapAddress ar:
   • Os dewisir Cloudflare DNS: 1.1.1.1
   • Os dewisir Google DNS: 8.8.8.8
6. Newid gwerth paramedr rhwydwaith.diogelwch.esni.galluogi ar yn wir
7. Gwiriwch fod y gosodiadau'n gywir gan ddefnyddio Gwasanaeth Cloudflare

Er bod y dull hwn yn fwy cymhleth, nid yw'n ei gwneud yn ofynnol i'r defnyddiwr gael hawliau gweinyddwr, ac mae yna lawer o ffyrdd eraill o sicrhau cais DNS nad ydynt yn cael eu disgrifio yn yr erthygl hon.

Opsiwn 3 (ar gyfer dyfeisiau symudol):

Gan ddefnyddio ap Cloudflare i Android и IOS.

Profi

I wirio diffyg mynediad at adnoddau, prynwyd parth sydd wedi'i rwystro yn Ffederasiwn Rwsia dros dro:

• Gwiriad HTTP + porthladd 80
• Gwiriad HTTP + porthladd 8080
• Gwiriad HTTPS + porthladd 443
• Gwiriad HTTPS + porthladd 8443

Casgliad

Rwy'n gobeithio y bydd yr erthygl hon yn ddefnyddiol ac yn annog nid yn unig gweinyddwyr i ddeall y pwnc yn fwy manwl, ond bydd hefyd yn rhoi dealltwriaeth bod bydd adnoddau bob amser ar ochr y defnyddiwr, a dylai chwilio am atebion newydd fod yn rhan annatod iddynt.

Dolenni defnyddiol

• Gweithredu'r safon SNI Amgryptio yn Firefox
• Ffordd Osgoi DPI All-lein

Ychwanegiad y tu allan i'r erthyglNi ellir cwblhau'r prawf Cloudflare ar rwydwaith gweithredwr Tele2, ac mae DPI sydd wedi'i ffurfweddu'n gywir yn rhwystro mynediad i'r safle prawf.
PS Hyd yn hyn dyma'r darparwr cyntaf sy'n blocio adnoddau yn gywir.

Ffynhonnell: hab.com